សវនកម្មសន្តិសុខ IT: កត្តាជោគជ័យ
ហេតុអ្វីបានជាក្រុមហ៊ុនខ្លះទទួលបានជោគជ័យ និងខ្លះបរាជ័យ? មានការឯកភាពគ្នាទៅលើចំនុចរួមមួយចំនួនដែលក្រុមហ៊ុនទទួលបានជោគជ័យ។ យើងហៅចំនុចទាំងនោះថា កត្តាជោគជ័យ (key success factors) ។ កត្តាជោគជ័យទាំងនោះ គឺមានសារៈសំខាន់ណាស់សម្រាប់អង្គភាពដើម្បីទទួលបាននូវអ្វីដែលមានចែងនៅក្នុងគោលដៅអាជីវកម្ម។
មិនមានការឯកភាពគ្នាទាំងស្រុងជាមុននោះទេនូវបញ្ជីនៃកត្តាជោគជ័យ ពីព្រោះវាអាស្រ័យទៅលើប្រភេទអាជីវកម្ម និងចំនុចផ្សេងៗទៀត។ មានអ្នកជំនាញការអាជីវកម្មខ្លះបាននិយាយទៅដល់ បុគ្គលល្អគឺជាកូនសោរនៃភាពជោគជ័យ។ មានខ្លះទៀតជឿជាក់ថា ការមានភាពស្មោះត្រង់ចំពោះអតិថិជនគឺជាកត្តាជោគជ័យ ហើយដែលមានអ្នកខ្លះទៀត គឺផ្តោតទៅលើគោលនយោបាយច្បាស់លាស់និងនីតិវិធីគឺ ជាវិធីដែលអង្គភាពអាចទទួលបានជោគជ័យ។
យើងមិនមានការជំទាស់ទៅនឹងការយល់ឃើញខាងលើឡើយ។ ប៉ុន្តែក្នុងនាមជា សវនករសន្តិសុខព័ត៌មាន (Information Systems Auditor), អ្នកធ្វើសវនកម្មសន្តិសុខព័ត៌មាន និងអ្នកគ្រប់គ្រង, ខ្ញុំសូមណែនាំឲ្យមាននូវមុខងារសវនកម្ម (audit) គឺជាកត្តាជោគជ័យដ៏សំខាន់សម្រាប់អង្គភាព ។ គោលបំណង នៃការធ្វើសវនកម្ម គឺដើម្បីធ្វើការវាយតម្លៃនូវធាតុផ្សំទាំងឡាយ មានដូចជា គោលនយោបាយ (policy), ប្រតិបត្តិការ (process), គណនី (account) ដើម្បីវាស់វែងនូវភាពត្រឹមត្រូវរបស់វា ថាតើត្រឹមត្រូវទៅតាមស្តង់ដារ ឬលក្ខខណ្ឌនានា ហើយឬនៅ?
ការធ្វើសវនកម្មដោយជោគជ័យគួរតែធ្វើការកំណត់ឲ្យបានច្បាស់នូវចំនុចទាំងឡាយណា ដែលអង្គភាពត្រូវការធ្វើឲ្យប្រសើរឡើង ដោយរួមមាននូវចំនុចណាដែលអ្នកគិតថាមានហានិភ័យខ្ពស់។ នៅក្នុងសម័យការឌីជីថលបច្ចុប្បន្ននេះ cybersecurity គឺជាកត្តាមួយដ៏សំខាន់នៅក្នុងខួរក្បាលរបស់នាយកក្រុមហ៊ុន។ ពួកគេតែងតែដឹងយ៉ាងច្បាស់ ហើយតែតែងបារម្ភ ប៉ុន្តែមិនបានធ្វើការងារនានាដើម្បីឆ្លើយតបទៅនឹងការព្រួយបារម្ភទាំងនោះឡើយ។ ម្នាក់ៗគឺដឹងថា cybersecurity គឺជាចំនុចមួយដែលមានហានិភ័យខ្ពស់សម្រាប់អង្គភាពជាច្រើន ប៉ុន្តែយន្តការនៃការឆ្លើយតបទៅនឹងហានិភ័យទាំងនោះ គឺនៅតែមិនច្បាស់លាស់។
វាគឺជាការងារបស់មុខងារសវនកម្ម IT ដើម្បីកំណត់នូវយន្តការរបៀបណាដែលអង្គភាពត្រូវតែឆ្លើយតបទៅនឹងហានិភ័យ ហើយធ្វើការវាយតម្លៃថាតើយន្តការឆ្លើយតបទាំងនោះ ត្រឹមត្រូវទៅផ្អែកទៅតាមស្តង់ដារសវនកម្ម និងការអនុវត្តល្អៗហើយឬនៅ? ។ ការឆ្លើយតបដែលនិយមក្នុងការដោះស្រាយទៅលើហានិភ័យនានានោះ គឺការដាក់នូវយន្តការ ឬវិធានការ (countermeasure) ដែលយើងតែងតែហៅថា Controls ។ អ្នកធ្វើសវនកម្មទទួលខុសត្រូវក្នុងការវាយតម្លៃ ប្រសិទ្ធិភាពនៃ controls ទាំងនោះដើម្បីកំណត់ថាតើវាពិតជាដំណើរការល្អមែនឬទេ ។
ជាឧទាហរណ៍ ថ្នាក់ដឹកនាំអាជីវកម្មតែងតែជឿជាក់ថា ជញ្ជាំងភ្លើង (Firewall) តែមួយគឺមានសមត្ថភាពគ្រប់គ្រាន់ក្នុងការឆ្លើយតបទៅនឹងការព្រួយបារម្ភផ្នែក សន្តិសុខព័ត៌មានរួចទៅហើយ។ មានសំណួរមួយចំនួនដែល IT auditors នឹងធ្វើការសាកសួរអំពីបញ្ហានេះ ដែលក្នុងនោះរួមមាន តើជញ្ជាំងភ្លើងនោះប្រភេទអ្វី? តើវាត្រូវបានគេរៀបចំឡើង (configure) ឡើងយ៉ាងដូចម្តេច? តើ rules នៅក្នុងជញ្ជាំងភ្លើងធ្វើការអាប់ដេតយ៉ាងដូចម្តេច? IT Auditor ក៏ត្រូវ ធ្វើការជូនដំណឹងទៅដល់ថ្នាក់ដឹកនាំដែរថា ជញ្ជាំងភ្លើងគឺ controls មួយក្នុងចំណោម controls ជាច្រើន ដែលយើងត្រូវបានតែមាននៅពេលឆ្លើយតប ទៅនឹងការគំរាមគំហែងពីការវាយប្រហារតាមអិុនធឺណិត។
ក្រុម audit team ដែលមានទំនាក់ទំនងជាមួយនឹង board of directors និង senior management មិនត្រឹមតែជួយដល់ការកំណត់នូវអ្វីដែលក្រុមហ៊ុនត្រូវតែធ្វើការកែសម្រួលប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងជួយដល់ការអភិវឌ្ឍនូវ audit plan ដែលគាំទ្រដល់យុទ្ធសាស្ត្រអាជីវកម្មរបស់អង្គភាពទាំងមូល ហើយនឹង ដើរតួនាទីដូចជាអ្នកប្រឹក្សាយោបល់ (consultants) ដើម្បីជួយរុញក្រុមហ៊ុនឲ្យជិតទៅដល់ចក្ខូវិស័យរបស់ខ្លួន។ ជាមួយនឹងការពាក់ព័ន្ធនៃក្រុម audit team ជាមួយនឹង tactical និង strategic levels អង្គភាពអាចរាប់បញ្ចូលថា ការធ្វើសវនកម្មគឺជាផ្នែកមួយនៃកត្តាជោគជ័យរបស់ខ្លួន៕
តើអ្នកយល់យ៉ាងណាដែរ?